Security-onderzoekers hebben bij het analyseren van aanvallen zo gedetailleerd mogelijke data nodig om te kunnen nagaan hoe een aanvaller toegang tot een systeem weet te krijgen. Maar ook privé is het zinvol om dat soort informatie te bekijken om infecties vroegtijdig te ontdekken. Je kunt het gratis programma Sysmon gebruiken om systeemactiviteit te loggen en analyseren en de benodigde informatie te vinden.
Als je een antivirusprogramma gebruikt en ervoor zorgt dat het besturingssysteem en de programma’s altijd up-to-date zijn, doe je er al veel aan om je pc te beschermen tegen malware. Ook met de ingebouwde tools van Windows kun je het nodige bereiken. Maar als je voor maximale veiligheid gaat, is dat niet genoeg. Dan moet je ook actief zoeken naar inbraakpogingen. Als een aanval ondanks alles toch succesvol is, moet je het gebruikte lek zo gedetailleerd mogelijk onderzoeken en dichten.
Bij dergelijk speurwerk is het belangrijk dat je zo nauwkeurig mogelijk bijhoudt wat je systeem doet op het moment dat het aangevallen wordt. Windows houdt standaard wel verschillende logboeken bij, maar voor malware-analyse heb je daar weinig aan. Gelukkig is het gratis programma Sysmon te downloaden van Microsofts website. Dat kan afzonderlijk of als onderdeel van de Sysinternals Suite.
We willen echter meteen wel even duidelijk maken dat Sysmon geen antivirusprogramma is. Het houdt alleen tot in detail alle systeemactiviteiten bij, waarmee een security-onderzoeker inbraken kan ontdekken en doorgronden. Het programma bewaart alle details in het Systeem-logboek. Die kun je met het programma Logboeken of met andere tools bekijken en analyseren.